Auch Medizinprodukte geraten zunehmend ins Visier von Kriminellen. Das Bundesamt für Arzneimittel und Medizinprodukte (BfArM) stellt daher eine Seite mit aktuellen Warnmeldungen der Hersteller von Medizinprodukten zur Verfügung, die in IT-Netzwerke eingebunden werden können. Die Sicherheitsexperten von CETUS Consulting empfehlen dringend, diese Warnmeldungen im IT-Sicherheitsmanagement zu berücksichtigen, um Risiken für das klinische Netzwerk kurzfristig zu erkennen.
Immer mehr Medizinprodukte verfügen über Schnittstellen wie LAN, WLAN oder Bluetooth. Das erhöht den Komfort und die Möglichkeiten dieser Geräte, birgt jedoch auch vernetzungsbezogene Risiken, welche die Sicherheit und Leistungsfähigkeit beeinträchtigen können. Im schlimmsten Fall können Hacker durch einen Cyberangriff die Funktion der Geräte so manipulieren, dass ein Sicherheitsrisiko für Patienten oder andere entsteht.
Schnittstellen absichern
Ein wesentlicher Bestandteil der Anforderungen an entsprechende Medizinprodukte ist heute daher die umfassende Absicherung von IT-Schnittstellen, sofern sie vorhanden sind. Hersteller dieser Produkte müssen entsprechende Risiken im Rahmen ihrer Produktgestaltung und Risikoanalyse zu berücksichtigen. Auch danach sind sie verpflichtet, entsprechende Risiken im Auge zu behalten und etwaige Schwachstellen zu beheben.
Treten IT-Sicherheitsrisiken im Zusammenhang mit Medizinprodukten auf, dann können sie meldepflichtig sein. Das BfArM weist unter anderem darauf hin, dass die in der Medizinprodukte-Sicherheitsplanverordnung (MPSV) genannten Meldekriterien und -pflichten auch für Risiken beziehungsweise Ereignisse gemäß § 2 Abs. 1 MPSV gelten, die im Zusammenhang mit der Vernetzung von Medizinprodukten stehen. IT-Sicherheitsrisiken, die im Zusammenhang mit Medizinprodukten auftreten, können darüber hinaus auch nach anderen rechtlichen Vorgaben meldepflichtig sein. Nach einer entsprechenden Risikobewertung kann das BfArM zu Empfehlungen für entsprechende Medizinprodukte kommen, die ebenfalls online zu finden sind.
Kundeninformationen zu Medizinprodukten
Darüber hinaus veröffentlicht das BfArM auf seiner Webseite Maßnahmenempfehlungen der Hersteller, die diese an ihre Kunden versenden. Solche Kundeninformationen enthalten beispielsweise Informationen der Hersteller über eigenverantwortlich durchgeführte Rückrufe von Medizinprodukten. Um die Auffindbarkeit entsprechender Mitteilungen zur Cybersicherheit von Medizinprodukten zu erleichtern, hat das BfArM online entsprechende Meldungen aufgelistet. Die aktuellen Kundeninformationen (Maßnahmen von Herstellern) sind auch als RSS-Feed abonnierbar.